分布式拒绝服务攻击防护与负载均衡一体化的方法和系统技术方案

本发明专利技术公开了一种分布式拒绝服务攻击防护与负载均衡一体化的方法和系统，所述方法包括以下步骤：判断接收到的报文的类型，根据所述报文的类型将所述报文传输给与所述报文的类型对应的防护模块进行检测，得到攻击报文和正常报文；与该报文的类型对应的防护模块将所述攻击报文进行过滤或将所述正常报文发送给内核线程模块；所述内核线程模块根据所述报文的类型修改所述报文并发送。本发明专利技术将分布式拒绝服务防护功能与负载均衡功能集成到同一台设备上，解决了单独防护设备所带来的成本问题，同时防护设备与负载均衡设备可以较为高效的相互配合；减少了进行负载均衡时报文的拷贝量，避免影响设备性能。

Method and system for integrating distributed denial of service attack protection and load balancing

The invention discloses a distributed denial of service attack protection method and system integration and load balancing, the method comprises the following steps: judging the received message type, according to the type of the message on the protection modules corresponding to types of the message transmission to the message of the detection, attack and normal message message; protection module corresponding to the type of the message of the attack packet filtering or sending the message to the normal kernel thread module; the kernel thread module according to the type of the message to modify the message and send. The invention will be distributed denial of service protection and load balancing function is integrated into the same machine, to solve the cost problem caused by the individual protective equipment and protective equipment, and load balancing equipment can cooperate more efficiently; to reduce the amount of message copies of load balancing, to avoid affecting the performance of equipment.

【技术实现步骤摘要】
分布式拒绝服务攻击防护与负载均衡一体化的方法和系统
本专利技术涉及计算机通信领域，特别涉及一种分布式拒绝服务攻击防护与负载均衡一体化的方法和系统。
技术介绍
分布式拒绝服务攻击(DistributedDenialofService，DDoS)是目前网络攻击中最常见的手段，具备简单、暴力、攻击效果好的特征，能够对被攻击目标的服务造成很大的影响。随着互联网的发展，当前的攻击呈现出攻击带宽越来越大、攻击越来越频繁的特征，造成的影响也越来越严重。DDoS针对的是破坏被攻击目标的“可用性”，该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源，使得该目标系统无法提供正常的服务。对于节点来说，常用的防护方式是部署硬件防护设备进行DDoS攻击的防护。同时节点通常部署有负载均衡设备，以实现流量在服务器集群之间的负载均衡，达到更好的性能，常用的负载均衡工具是Linux虚拟服务器(LVS)，在非常多的互联网公司的服务中，已经被大量用于节点内部的负载均衡。然而现有技术存在的问题是：(1)节点DDoS的防护由于需要部署硬件，会增加成本；(2)单独的防护设备与负载均衡设备相互独立，容易出现连接状态不统一，从而使得防护及流量处理出现问题；(3)负载均衡设备处理流程较多，影响整体系统的性能。
技术实现思路
为了解决现有技术的问题，本专利技术实施例提供了一种分布式拒绝服务攻击防护与负载均衡一体化的方法和系统。所述技术方案如下：一方面，一种分布式拒绝服务攻击防护与负载均衡一体化的方法，包括以下步骤：判断接收到的报文的类型，根据报文的类型将报文传输给与报文的类型对应的防护模块进行检测，得到攻击报文和正常报文；与该报文的类型对应的防护模块将攻击报文进行过滤或将正常报文发送给内核线程模块；内核线程模块根据报文的类型修改报文并发送。进一步的，根据报文的类型将报文传输给与报文的类型对应的防护模块进行检测，得到攻击报文和正常报文，与该报文的类型对应的防护模块将攻击报文进行过滤的步骤具体包括：对传输控制协议报文的传输速率进行统计，当传输控制协议报文的传输速率超过阈值时，对超过阈值的传输控制协议报文进行SYNCOOKIE验证、连接表查找或HTTP行为验证，过滤攻击报文；对源网络协议地址和目的网络协议地址的用户数据报协议报文的传输速率和带宽进行统计，当用户数据报协议报文的传输速率或带宽超过阈值时，丢弃用户数据报协议报文；对目的网络协议地址的互联网控制报文协议报文的带宽进行统计，当互联网控制报文协议报文的带宽超过阈值时，丢弃互联网控制报文协议报文。具体的，对传输控制协议报文的传输速率进行统计，当超过阈值时认为有攻击发生，进行SYNCOOKIE验证、连接表查找或HTTP行为验证对攻击报文进行过滤的方法包括：SYNFLOOD检测防护：对各目的网络协议地址的SYN报文进行统计，当超过阈值时，开启防护，采用SYNCOOKIE的方式进行验证，对攻击报文回应带有COOKIE的SYN/ACK报文，并对后续ACK报文进行COOKIE验证；ACKFLOOD检测防护：根据连接表进行防护，对于合法的握手ACK报文，传入内核创建连接，对于非法的ACK报文，则直接丢弃；HTTPFLOOD检测防护：对超文本传输协议请求报文进行统计，当超过设定的阈值时，开启防护，向发起请求的网络协议地址发送加入验证字段的超文本传输协议响应报文，并对该网络协议地址后续发来的报文验证所述字段。进一步的，内核线程模块根据报文的类型修改报文并发送的步骤具体为：内核线程模块通过共享内存方式接收正常报文，根据正常报文的类型，查找并修改正常报文的目的地址，然后封装正常报文进行发送。具体的，根据正常报文的类型，查找并修改正常报文的目的地址，然后封装正常报文进行发送的具体步骤为：对于传输控制协议类型的报文，判断是否为握手报文；如果是握手报文，则调用Linux虚拟服务器的接口创建连接，并根据连接表中下一跳的物理地址信息，修改握手报文，再将握手报文封装后放入发送队列等待发送；如果不是握手报文，则根据报文在Linux虚拟服务器的连接表中是否含有连接及是否为结束报文进行处理。具体的，根据报文在Linux虚拟服务器的连接表中是否含有连接及是否为结束报文进行处理的具体步骤为：查找Linux虚拟服务器的连接表，判断连接表是否有该报文对应的连接；如果连接表含有该报文对应的连接，则根据连接表中的信息查找到下一跳的物理地址，修改并封装报文，放入发送队列等待发送；如果连接表不含有该报文对应的连接，则判断该报文是否为结束连接报文；如果是结束连接报文，则将正常报文拷贝并送入协议栈，进行Linux虚拟服务器的处理流程，完成连接状态更新；如果不是结束连接报文，则直接丢弃报文。另一方面，一种分布式拒绝服务攻击防护与负载均衡一体化的系统，包括：分布式拒绝服务防护模块，用于判断接收到的报文的类型，根据报文的类型将报文传输给与所述报文的类型对应的防护子模块进行检测，得到攻击报文和正常报文，与该报文的类型对应的防护子模块将攻击报文进行过滤或将正常报文发送给内核线程模块；内核线程模块，用于根据报文的类型修改报文并发送。进一步的，内核线程模块包括：内核收发包模块，用于通过共享内存方式收发正常报文；负载均衡模块，用于根据正常报文的类型，查找并修改正常报文的目的地址，然后封装正常报文后进行发送。进一步的，分布式拒绝服务防护模块包括：报文类型判断子模块，用于判断报文类型；传输控制协议防护子模块，用于对传输控制协议报文的传输速率进行统计，当传输控制协议报文的传输速率超过阈值时，对超过阈值的传输控制协议报文进行SYNCOOKIE验证、连接表查找或HTTP行为验证，过滤攻击报文；用户数据报协议防护子模块，用于对源网络协议地址和目的网络协议地址的用户数据报协议报文的传输速率和带宽进行统计，当用户数据报协议报文的传输速率或带宽超过阈值时，丢弃用户数据报协议报文；互联网控制报文协议防护子模块，用于对目的网络协议地址的互联网控制报文协议报文的带宽进行统计，当互联网控制报文协议报文的带宽超过阈值时，丢弃互联网控制报文协议报文。进一步的，传输控制协议防护子模块具体包括：SYNFLOOD检测防护单元：用于对各目的网络协议地址的SYN报文进行统计，当超过阈值时，开启防护，采用SYNCOOKIE的方式进行验证，对攻击报文回应带有COOKIE的SYN/ACK报文，并对后续ACK报文进行COOKIE验证；ACKFLOOD检测防护单元：用于根据连接表进行防护，对于合法的握手ACK报文，传入内核创建连接，对于非法的ACK报文，则直接丢弃；HTTPFLOOD检测防护单元：用于对超文本传输协议请求报文进行统计，当超过设定的阈值时，开启防护，向发起请求的网络协议地址发送加入验证字段的超文本传输协议响应报文，并对该网络协议地址后续发来的报文验证所述字段。本专利技术实施例提供的技术方案带来的有益效果是：本专利技术将分布式拒绝服务防护功能与负载均衡功能集成到同一台设备上，解决了单独防护设备所带来的成本问题，同时防护设备与负载均衡设备可以较为高效的相互配合；减少了进行负载均衡时报文的拷贝量，避免影响设备性能。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显本文档来自技高网...

【技术保护点】
一种分布式拒绝服务攻击防护与负载均衡一体化的方法，其特征在于，包括以下步骤：判断接收到的报文的类型，根据所述报文的类型将所述报文传输给与所述报文的类型对应的防护模块进行检测，得到攻击报文和正常报文；与所述报文的类型对应的防护模块将所述攻击报文进行过滤或将所述正常报文发送给内核线程模块；所述内核线程模块根据所述报文的类型修改所述报文并发送。

【技术特征摘要】
1.一种分布式拒绝服务攻击防护与负载均衡一体化的方法，其特征在于，包括以下步骤：判断接收到的报文的类型，根据所述报文的类型将所述报文传输给与所述报文的类型对应的防护模块进行检测，得到攻击报文和正常报文；与所述报文的类型对应的防护模块将所述攻击报文进行过滤或将所述正常报文发送给内核线程模块；所述内核线程模块根据所述报文的类型修改所述报文并发送。2.如权利要求1所述的分布式拒绝服务攻击防护与负载均衡一体化的方法，其特征在于，根据所述报文的类型将所述报文传输给与所述报文的类型对应的防护模块进行检测，得到攻击报文和正常报文，与所述报文的类型对应的防护模块将所述攻击报文进行过滤的步骤具体包括：对传输控制协议报文的传输速率进行统计，当所述传输控制协议报文的传输速率超过阈值时，对超过阈值的所述传输控制协议报文进行SYNCOOKIE验证、连接表查找或HTTP行为验证，过滤所述攻击报文；对源网络协议地址和目的网络协议地址的用户数据报协议报文的传输速率和带宽进行统计，当所述用户数据报协议报文的传输速率或带宽超过阈值时，丢弃所述用户数据报协议报文；对目的网络协议地址的互联网控制报文协议报文的带宽进行统计，当所述互联网控制报文协议报文的带宽超过阈值时，丢弃所述互联网控制报文协议报文。3.如权利要求2所述的分布式拒绝服务攻击防护与负载均衡一体化的方法，其特征在于，所述对传输控制协议报文的传输速率进行统计，当超过阈值时认为有攻击发生，进行SYNCOOKIE验证、连接表查找或HTTP行为验证对所述攻击报文进行过滤的方法包括：SYNFLOOD检测防护：对各目的网络协议地址的SYN报文进行统计，当超过阈值时，开启防护，采用SYNCOOKIE的方式进行验证，对所述攻击报文回应带有COOKIE的SYN/ACK报文，并对后续ACK报文进行COOKIE验证；ACKFLOOD检测防护：根据连接表进行防护，对于合法的握手ACK报文，传入内核创建连接，对于非法的ACK报文，则直接丢弃；HTTPFLOOD检测防护：对超文本传输协议请求报文进行统计，当超过设定的阈值时，开启防护，向发起请求的网络协议地址发送加入验证字段的超文本传输协议响应报文，并对所述网络协议地址后续发来的报文验证所述字段。4.如权利要求1-3任一项所述的分布式拒绝服务攻击防护与负载均衡一体化的方法，其特征在于，所述内核线程模块根据所述报文的类型修改所述报文并发送的步骤具体为：所述内核线程模块通过共享内存方式接收所述正常报文，根据所述正常报文的类型，查找并修改所述正常报文的目的地址，然后封装所述正常报文进行发送。5.如权利要求4所述的分布式拒绝服务攻击防护与负载均衡一体化的方法，其特征在于，所述根据所述正常报文的类型，查找并修改所述正常报文的目的地址，然后封装所述正常报文进行发送的具体步骤为：对于传输控制协议类型的报文，判断是否为握手报文；如果是所述握手报文，则调用Linux虚拟服务器的接口创建连接，并根据连接表中下一跳的物理地址信息，修改所述握手报文，再将所述握手报文封装后放入发送队列等待发送；如果不是所述握手报文，则根据所述报文在Linux虚拟服务器的连接表中是否含有连接及是否为结束报文进行处理。6...

【专利技术属性】
技术研发人员：马涛，张肖洒，欧怀谷，
申请(专利权)人：网宿科技股份有限公司，
类型：发明
国别省市：上海,31